4月9日,金山互联网安全公司正式发布《2009 年3月中国互联网安全报告》。报告显示,3月份,中国互联网新增病毒4,176,352个,病毒感染机器数23,362,045台次。与2月份相比,新增病毒数量增加了17.2%。
金山毒霸反病毒专家李铁军表示,3月份,尤其是央视315晚会后,中国互联网被一片恐慌气氛所笼罩。肉鸡、网银安全、网页挂马等成为关注焦点。
以网银木马为例, 3月份知名度最多高的网银盗号木马是"顶狐结巴",这同样缘于央视315晚会的曝光。"顶狐"已被警方粉碎,今后不会再危害网络,而其它的网银木马依旧在伺机作案。比如就在央视曝光"顶狐"的同时,一款名为"IK 网银盗号器"的网银木马,就计划着接替"顶狐",成为新的"网银木马代表"。
"IK 网银盗号器" 利用邮件传播, 如果您的邮箱中收到一封来自" 刘娜"来的邮件,对它的附件可要千万当心,这就是"IK 网银盗号器"的邮件。通过对该毒的技术追查,金山毒霸反病毒工程师发现,此毒近来在网上非常猖獗,许多黑客网站甚至公开出售。随便找一个搜索引擎,输入"IKlogger0.1",就可以查询到关于该毒的大量买卖、介绍信息。一些出售该毒的黑客网站声称此毒是从阿根廷进口,如购买,还可提供一对一的操作教学。
同时,3月份,网页挂马给互联网带来的安全局势越来越严峻。除了像2月那样,频繁攻击各类门户、平台类网站进行挂马外,金山毒霸的反病毒工程师发现,黑客已摸索出了一系列新的挂马手段:他们利用百度竞价、百度快照、谷歌图片来提高挂马攻击的效率。
基于对3月互联网安全形势的分析,金山毒霸反病毒专家建议从以下几个方面防护电脑安全:
1、安装正版杀毒软件(www.duba.net),开启防火墙以及实时监控功能;
2、下载并使用免费的"肉鸡检测器"(www.duba.net/zt/rouji/),检查自己的电脑是否是肉鸡;
3、在正常浏览网页都有可能感染木马的今天,免费下载金山网盾,保障网页浏览安全。
《2009 年3月中国互联网安全报告》公布了3月份互联网十大病毒。报告显示,3月份,中国互联网十大病毒均系木马,并全部与盗号相关。
此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,如猫癣,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。至于脚本病毒,由于其特殊的攻击方式,我们将单独制作排行。
3月份互联网十大病毒均系木马 全部与盗号相关
1.win32.vbt.hl.84701 (无公害感染源)
展开描述:感染文件,帮助木马传播
卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.a
N0D32命名:virus.Win32.Sality.NAC
麦咖啡命名:PWS-LegMir trojan
"无公害感染源"(win32.vbt.hl.84701)在2月时就已经是感染量排行很高的病毒。在3月份,它的感染量更是实现了"跨越式"发展,达到200万台次。
该毒本身没有任何破坏能力,它只是单纯的感染用户电脑中的EXE文件,也不会干扰被感染文件的正常运行。但较以前的版本而言,代码中增加了一些用于与其它模块相连接的接口。看来,病毒作者已经完成了测试,开始将该毒投入实战。
尽管在感染文件后,该毒依然不会直接破坏系统,却能与别的木马模块相配合了。至于它们"合体"后会有哪些危害,则要看木马执行模块的功能如何安排,不同的变种可能具有不同的功能。
2.win32.troj.small.ag.7680(迷你下载器AG)
展开描述:下载木马 存放于临时目录 占用系统资源
卡巴命名:Trojan-Downloader.Win32.Agent.bhyn
瑞星命名:Trojan.DL.Win32.Mnless.cbr
N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OQW
这个木马下载器早在2月份就已经诞生了,不过当时感染量并不大,一直徘徊在1万以下。从3月4号起,它开始爆发,每天的感染量一路飙升,最高时达到7万余台次。
它是以一个dll文件的形式存在,行后会创建一个线程,解密自带的下载地址,从下载地址中下载另一些下载器,再利用这些下载器把一堆各式各样的盗号木马引到系统的临时目录下运行,伺机搜刮电脑中的各类网游帐号。
在对该毒进行测试时,我么么发现,它所下载的部分盗号木马也具有下载器功能,这就会造成进入用户电脑的恶意程序越来越多,随着它们陆续运行,系统资源会被逐渐蚕食,电脑变得越来越卡。
3.win32.troj.sysjunkt.hh(NS窥视器)
展开描述:加花加密,协助远程木马对抗杀软
卡巴命名:Trojan.Win32.BHO.kqd
瑞星命名:RootKit.Win32.Undef.bks
N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus
麦咖啡命名:DNSChanger.gen trojan
"NS窥视器"(win32.troj.sysjunkt.hh)的3月份的总感染量为156万台次,与2月份相比略有增长。
此毒为一款远程木马的组成部分。它的真身是个经过加花的木马驱动。
一旦进入用户电脑,它就修改注册表服务项,将自己从属的木马冒充成系统进程,或采用随机命名的进程名,实现开机自启动。它在后台悄悄调用IE浏览器,连接到病毒作者指定的黑客服务器。
此毒在3月份时,所协助的病毒除了远程后门外,还增加了一些广告木马。
4.win32.troj.encodeie.ao.524288(传奇盗号下载器AO)
展开描述:盗窃《传奇》帐号,非法转移虚拟财产
卡巴命名:Trojan.Win32.BHO.nng
"传奇盗号下载器AO"(win32.troj.encodeie.ao.524288)曾一度以高达10万台次的感染量位居非脚本木马单日感染量排行的榜首。毒霸反病毒工程师对其分析后发现,它可以下载许多别的木马到用户电脑中运行,但其自身也具有盗号功能,根据变种的不同,可以利用内存注入、键盘记录、消息截获等多种手段盗取的就是《传奇》的帐号。
该毒还拥有不少针对其它游戏的变种,作案原理大同小异。
"传奇盗号下载器AO"无法自动传播,因此可以断定,它必然也是借助那些大肆挂马的脚本下载器进入用户电脑。这样一来,打齐系统补丁也就成了免受此毒骚扰的最简单办法。
5.win32.troj.onlinegamet.fd.295241(网游盗号木马295241)
展开描述:疯狂盗窃网游帐号,侵吞玩家虚拟财产
卡巴命名:Worm.Win32.Downloader.zd
瑞星命名:Trojan.PSW.Win32.GameOL.udx
N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM
"网游盗号木马295241"(win32.troj.onlinegamet.fd.295241),这是一个网游盗号木马。根据变种的不同,它可盗窃多款网游的帐号和密码。
这个盗号木马新变种的对抗能力依然很弱,之所以拥有如此大的感染量,是因为借助了一些比较流行的下载器的帮助。在2月份是,它是借助"猫癣",而3月份,我们则是在不少脚本下载器的下载列表中发现了它的身影。
如果发现您的毒霸提示说在电脑里发现此毒,很有可能是中了某种未知的下载器。建议下载我们的未知病毒应急处理工具"金山系统急救箱"对注册表进行清洗,然后再进行一次全盘查杀。
6.win32.troj.onlinegames.de.36864(cfg寻仙盗号器变种)
展开描述:对抗杀软,《寻仙》问"盗"
卡巴命名:rojan-GameThief.Win32.Magania.awzg
瑞星命名:Trojan.PSW.Win32.GameOL.wez
N0D32命名:Trojan.Win32.PSW.OnLineGames.NRD
BitDefender命名:Generic.Onlinegames.14.E204280A
135 万台次的感染量,使得win32.troj.onlinegames.de.36864 (cfg寻仙盗号器变种)成为本排行榜的第6名。此毒具有简单的对抗能力,它会尝试利用强制关闭进程的办法,中止一些常见杀软的进程,如果这些杀软的自保护比较弱,那么就会被它"干掉"。
随后此毒就搜寻并注入《寻仙》的进程,截取帐号信息。
从对该毒的跟踪上,我们发现此毒虽然感染量很大,但成功机率却不高,因为绝大部分时候,它刚进入电脑,就被毒霸查杀了。如果用户发现自己电脑中有此毒并且又总是杀不干净,其实是因为电脑中有未知下载器在作怪。这时候仅需下载金山安全实验室的"系统急救箱",就可将这个未知下载器灭活。
7.win32.troj.dropper.jg.210338(盗号木马下载器JG)
展开描述:保护病毒木马,躲避杀软查杀
卡巴命名:Trojan-Dropper.Win32.Agent.aipa
瑞星命名:Dropper.Win32.Agent.zvf
N0D32命名:Trojan.Win32.TrojanDropper.Agent.NNO
麦咖啡命名:Generic Dropper.cy trojan
BitDefender命名:Rootkit.Agent.AIWN
"盗号木马下载器JG"(win32.troj.dropper.jg.210338)在3月前半月的感染量非常之高,一度逼近单日10万台次。但从18号开始,迅速降低截止31日,每日仅有1千余台次的感染量。不过,它全月的总成绩还是很"不错",为130万台次。
此毒不具备对抗能力,为防止被杀软拦截,它的一些变种会被与具有对抗功能的木马模块相捆绑,进入系统后这些对抗模块先运行起来,尝试解决杀软。
接着,该毒就开始疯狂下载各种盗号木马,在电脑中洗劫网游帐号。
只要打齐系统安全补丁,该毒就无法进入电脑,因为它是借助脚本木马下载器才能进入电脑,而脚本木马又必须是利用系统安全漏洞才能成功实施攻击。
8.win32.binder.agent.ar.110592(地下城盗贼)
卡巴命名:Trojan-Dropper.Win32.Agent.ajat
瑞星命名:Binder.Win32.Agent.ar
N0D32命名:Trojan.Win32.TrojanDropper.Agent.NWE
展开描述:添加注册表自启动 盗窃成功后自我删除
脚本木马的影响是如此之大,借助脚本下载器的帮助,win32.binder.agent.ar.110592 (地下城盗贼)这个完全没有任何对抗能力的盗号木马,在3月份竟然获得了131万台次的总感染量。
当进入系统,它就搜索并注入网游《地下城与勇士》的进程,悄悄记录用户输入的帐号和密码。
该毒的作者为保证能收到偷来的游戏帐号,设置了4个接收网址,每次盗得帐号后,会往这四个地址都发送一份邮件。
9.win32.troj.sysjunk2.ak.32768(木马驱动器32768)
展开描述:对抗杀软,下载网游盗号木马
就和普通制造业的模块化一样,病毒制作也在走向模块化。病毒作者不必亲自
写完所有代码,而只需要挑选自己喜欢的模块相组合,就能得到想要的病毒。"木马驱动器32768"(win32.troj.sysjunk2.ak.32768)就是一个这样的模块。
此模块为一个驱动文件,加密加花比较强。毒霸反病毒工程师对其进行破解分析后,发现该驱动主要用于恢复系统SSDT表,以及获取系统权限,还可以破坏一些常见安全软件的驱动。
这些行为直接决定了木马是否可以成功入侵,难怪病毒作者如此费心的对其进行加密,并且还放上许多花指令试图干扰反病毒工作者的分析。
根据毒霸云安全系统的统计,此模块整个3月份的感染量为121万台次,远远高出2月份时的38万台次的电脑。
10.win32.troj.qqpswt.bs.116858 (QQ小偷)
展开描述:盗窃QQ帐号,洗劫用户Q币
卡巴命名:Trojan-PSW.Win32.QQPass.fqt
瑞星命名:rojan.PSW.Win32.QQPass.dzm
N0D32命名:Trojan.Win32.PSW.Delf.NLZ
BitDefender命名:Generic.PWStealer.B2169547
病毒团伙对此毒的推广力度,从2月份一直持续至今。该毒可依靠AUTO及时来进行自动传播。每进入一台电脑,就在各磁盘分区中生成自己的AUTO文件,一旦用户在中毒电脑上使用U盘等移动存储设备,这些AUTO文件就会立刻将其感染。这样一来,该毒就能随着U盘到处传播了。
在3月份,此毒借助脚本下载器传播的力度不减。毒霸反病毒工程师在不少木马下载器中发现了该毒的下载地址,它的保守感染量达到近120万台次。
受该毒威胁的,主要是网吧等公共电脑,因为这些电脑的U盘使用率较高,U盘来源也复杂,并且每次电脑重启后都会删除之前下载的文件,以保护系统的清洁。但实际上,这样也会将补丁也一同删除,使得电脑极易遭受那些包含有该毒下载链接的挂马的攻击。
本月重大漏洞介绍
3月份没有新的高危漏洞。本月被黑客们利用最多的漏洞,为MS09002、MS06014漏洞。金山毒霸预测,在4月份,它们依然会是利用得最多的漏洞。
上个月被担心的adobe reader和adobe flash10漏洞,本月的确出现了较多利用它们的脚本木马,但并不像之前大家所想象中那么严重。
在3月中旬,国内某安全厂商曾发出警报,称利用Conficker漏洞病毒将在4.1出现大规模大爆发,一时间网络中人心惶惶,甚至有该厂家的用户向毒霸求助,咨询到底该如何防范Conficker病毒。
然而时间已经过去,该毒的大爆发在国内外都并未发生。事实上,Conficker病毒是很老的病毒家族,对于这类能在局域网中快速传播的病毒,早在去年10 月份时,微软就已经推出了相关漏洞补丁,只要打上补丁,就不会受其影响。目前为止,似乎只有法国海军的内网被该毒大规模入侵过,而它在国内流行的概率更是趋向于0 。
我们猜测,也许宣布这一消息的厂家只是在跟大家开愚人节玩笑。
